Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GUV Trojaner sperrt System (https://www.trojaner-board.de/131388-guv-trojaner-sperrt-system.html)

locutus01 22.02.2013 14:42
GUV Trojaner sperrt System
 
Hallo zusammen!

Ich bin mit dem Laptopsystem eines Freundes beschäftigt.

System: Windows Vista SP2 32 bit

Er hat sich vermutlich über eine EMail den Trojaner eingefangen. Ein Bekannter hat bei ihm bereits die Avira Rescue disk durchlaufen lassen und wohl zwei andere "Dinge" damit entfernt. Da weiß ich leider nicht welche. Das Problem besteht aber immer noch und ich möchte sicher gehen, das der PC sauber ist.
Ich habe im abgesicherten Modus eine Wiederherstellung von einem früheren Zeitpunkt gemacht und Avira Premium installiert um überhaupt mit dem System arbeiten zu können. Zur Zeit wird ein Prozeß geblockt der auf localhost versucht etwas anderes auszuführen. Ein Test zeigte das dies der Trojaner ist.

Ein Malware scan brachte folgendes Ergebnis:

Code:
Malwarebytes Anti-Malware (Trial) 1.70.0.1100
www.malwarebytes.org

Database version: v2012.12.14.11

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
FC - Hasser :: SIMMONSEN [limited]

Protection: Enabled

22.02.2013 14:08:05
MBAM-log-2013-02-22 (14-18-29).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 160058
Time elapsed: 6 minute(s), 4 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\Users\FC - Hasser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk (Trojan.Ransom.SUGen) -> No action taken.

(end)
Ein OTL Scan danach brachte folgendes:

Code:
OTL logfile created on: 22.02.2013 14:21:42 - Run 2
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\FC - Hasser\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,38 Gb Available Physical Memory | 46,05% Memory free
6,23 Gb Paging File | 4,28 Gb Available in Paging File | 68,72% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 223,90 Gb Total Space | 39,53 Gb Free Space | 17,66% Space Free | Partition Type: NTFS
Drive D: | 8,98 Gb Total Space | 1,66 Gb Free Space | 18,47% Space Free | Partition Type: NTFS
 
Computer Name: SIMMONSEN | User Name: borusse | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\FC - Hasser\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\usrreq.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Users\FC - Hasser\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
PRC - C:\Programme\Google\Google Toolbar\GoogleToolbarUser_32.exe (Google Inc.)
PRC - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
PRC - C:\Programme\Ask.com\AbineSDK\IE\DNTPService.exe (Abine Inc.)
PRC - C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
PRC - C:\Programme\Common Files\Logishrd\KHAL2\KHALMNPR.exe (Logitech, Inc.)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
PRC - C:\Programme\TomTom HOME 2\HOMERunner.exe (TomTom)
PRC - C:\Windows\SMINST\BLService.exe ()
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
PRC - C:\Programme\Lexmark 6500 Series\lxdfamon.exe ()
PRC - C:\Windows\System32\lxdfcoms.exe ( )
 
 
========== Modules (No Company Name) ==========
 
MOD - c:\users\fc-has~1\7345738.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\e64304962098e90f0d3f4c33c1b080a6\System.Windows.Forms.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\004bc6615f9c06df5c98859d35149fe6\System.Configuration.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\b757806657fa5db2b1ed1a89b026b463\System.Xml.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\78157a494dc9a7e52be8840decfcd9cc\System.Drawing.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System\cc149d08e75f8c53cd28ac926b38c370\System.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\2227d1559f87943255069398608d5c56\mscorlib.ni.dll ()
MOD - C:\Programme\Ask.com\AbineSDK\IE\DNTPContentFilter.dll ()
MOD - C:\Programme\Ask.com\AbineSDK\IE\DNTPServicePS.dll ()
MOD - C:\Programme\Lexmark Toolbar\resource.dll ()
MOD - C:\Programme\Lexmark Toolbar\toolband.dll ()
MOD - C:\Programme\Logitech\SetPoint\khalwrapper.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll ()
MOD - C:\Programme\HP\QuickPlay\Kernel\TV\CLSchMgr.dll ()
MOD - C:\Programme\HP\QuickPlay\Kernel\TV\CLCapEngine.dll ()
MOD - C:\Programme\HP\QuickPlay\Kernel\TV\CLTinyDB.dll ()
MOD - C:\Programme\Lexmark 6500 Series\lxdfamon.exe ()
MOD - C:\Programme\Common Files\LightScribe\QtGui4.dll ()
MOD - C:\Programme\Common Files\LightScribe\plugins\imageformats\qjpeg4.dll ()
MOD - C:\Programme\Common Files\LightScribe\QtCore4.dll ()
MOD - C:\Programme\Lexmark 6500 Series\app4r.monitor.core.dll ()
MOD - C:\Programme\Lexmark 6500 Series\app4r.monitor.common.dll ()
MOD - C:\Programme\Lexmark 6500 Series\app4r.devmons.mcmdevmon.dll ()
MOD - C:\Programme\Lexmark 6500 Series\app4r.devmons.mcmdevmon.autoplayutil.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirFirewallService) -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe (Avira Operations GmbH & Co. KG)
SRV - (Winmgmt) -- C:\Users\FC-HAS~1\7345738.dll ()
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (odserv) -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (LBTServ) -- C:\Programme\Common Files\Logishrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (Microsoft Office Groove Audit Service) -- C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe (Microsoft Corporation)
SRV - (Recovery Service for Windows) -- C:\Windows\SMINST\BLService.exe ()
SRV - (ezSharedSvc) -- C:\Windows\System32\ezsvc7.dll (EasyBits Sofware AS)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (lxdf_device) -- C:\Windows\System32\lxdfcoms.exe ( )
SRV - (lxdfCATSCustConnectService) -- C:\Windows\System32\spool\DRIVERS\W32X86\3\\lxdfserv.exe ()
SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found
DRV - (InCDRm) -- system32\drivers\InCDRm.sys File not found
DRV - (InCDPass) -- system32\drivers\InCDPass.sys File not found
DRV - (InCDFs) -- system32\drivers\InCDFs.sys File not found
DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG)
DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avfwot) -- C:\Windows\System32\drivers\avfwot.sys (Avira GmbH)
DRV - (avfwim) -- C:\Windows\System32\drivers\avfwim.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG)
DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (LMouFilt) -- C:\Windows\System32\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV - (LHidFilt) -- C:\Windows\System32\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV - (CnxtHdAudService) -- C:\Windows\System32\drivers\CHDRT32.sys (Conexant Systems Inc.)
DRV - (RTL8169) -- C:\Windows\System32\drivers\Rtlh86.sys (Realtek Corporation                                            )
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)
DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio.sys (Conexant Systems, Inc.)
DRV - (HpqKbFiltr) -- C:\Windows\System32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvm60x32.sys (NVIDIA Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Presario&pf=cnnb
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Presario&pf=cnnb
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{2AD9BACB-2264-4A41-A318-6F1BDE25A2A7}: "URL" = hxxp://de.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913933
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{D87FDBEE-E7CB-48AE-8CBD-78AC61B2F615}: "URL" = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1145&query={searchTerms}&invocationType=tb50hpcnnbie7-de-de
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Presario&pf=cnnb
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKCU\..\SearchScopes,DefaultScope = {725C2BB1-43A2-419C-9A4A-C0C4D0DDADF3}
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU\..\SearchScopes\{725C2BB1-43A2-419C-9A4A-C0C4D0DDADF3}: "URL" = hxxp://www.google.de/search?q={searchTerms}&rlz=1I7ADRA_deDE336
IE - HKCU\..\SearchScopes\{960B40B8-952B-481D-81AD-1E8C6D8CB912}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10261&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AGS&apn_dtid=^YYYYYY^YY^DE&apn_uid=D1C876D8-5DEF-40E6-BFB0-279A4DFF4EB7&apn_sauid=324E42FD-DB9D-4363-AB06-8EBC5D8397CA
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.02.13 05:35:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
 
[2012.02.09 11:56:21 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.02.13 05:35:52 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.01.29 15:02:49 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.01.29 14:50:55 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.01.29 15:02:49 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.01.29 15:02:49 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.01.29 15:02:49 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.01.29 15:02:49 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Lexmark Symbolleiste) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll ()
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Lexmark Symbolleiste) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll ()
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\ShellBrowser: (Lexmark Symbolleiste) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Lexmark Symbolleiste) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll ()
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [HP Health Check Scheduler] c:\Programme\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe (Hewlett-Packard)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\Windows\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [lxdfamon] C:\Program Files\Lexmark 6500 Series\lxdfamon.exe ()
O4 - HKLM..\Run: [lxdfmon.exe] C:\Program Files\Lexmark 6500 Series\lxdfmon.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\Windows\System32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" File not found
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [TomTomHOME.exe] C:\Program Files\TomTom HOME 2\HOMERunner.exe (TomTom)
O4 - HKLM..\RunOnce: [*Restore] C:\Windows\System32\rstrui.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000033 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Ranges: Range1 ([http] in Local intranet)
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} https://wimpro3.cce.hp.com/ChatEntry/downloads/sysinfo.cab (SysData Class)
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab (GMNRev Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 80.69.100.102 80.69.103.78
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{ACEA6A4B-1CBF-4FEC-ACFC-EFD3B99A0FA7}: DhcpNameServer = 80.69.100.182 80.69.100.174
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F13EF736-9568-417D-8966-B1060C285130}: DhcpNameServer = 80.69.100.102 80.69.103.78
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\Dots.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\Dots.jpg
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2008.10.31 21:01:45 | 000,003,802 | ---- | M] () - C:\Autorun_dll.log -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.22 13:48:17 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2013.02.22 13:47:55 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.02.22 13:47:54 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2013.02.22 13:47:54 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2013.02.21 23:03:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2013.02.21 23:01:59 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com
[2013.02.21 23:01:43 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2013.02.21 23:01:42 | 000,134,336 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2013.02.21 23:01:42 | 000,113,024 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avfwot.sys
[2013.02.21 23:01:42 | 000,092,448 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avfwim.sys
[2013.02.21 23:01:42 | 000,083,944 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2013.02.21 23:01:42 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.02.21 23:01:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013.02.21 23:01:39 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2013.02.15 12:57:09 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2013.02.15 12:57:07 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2013.02.15 12:57:07 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2013.02.15 12:57:07 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2013.02.15 12:57:07 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2013.02.15 12:57:05 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2013.02.15 12:57:04 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2013.02.15 12:57:03 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2013.02.15 12:54:04 | 003,602,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2013.02.15 12:54:04 | 003,550,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2013.02.14 15:13:19 | 002,048,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2013.02.14 15:13:16 | 001,314,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\quartz.dll
[25 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[25 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.22 14:00:02 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2013.02.22 13:47:56 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2013.02.22 13:42:00 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.22 13:22:54 | 000,000,216 | ---- | M] () -- C:\Users\Public\Documents\hpqp.ini
[2013.02.22 13:21:01 | 000,072,057 | ---- | M] () -- C:\ProgramData\nvModes.001
[2013.02.22 13:19:39 | 000,072,057 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2013.02.22 13:19:20 | 095,023,320 | ---- | M] () -- C:\ProgramData\8375437.pad
[2013.02.22 13:19:07 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.22 13:18:40 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.22 13:18:40 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.22 13:18:36 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.22 13:18:26 | 3218,284,544 | -HS- | M] () -- C:\hiberfil.sys
[2013.02.22 12:59:08 | 000,000,952 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001UA.job
[2013.02.21 23:23:05 | 000,007,592 | ---- | M] () -- C:\Users\borusse\AppData\Local\d3d9caps.dat
[2013.02.21 23:03:36 | 000,001,847 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.02.21 21:37:53 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2013.02.21 21:37:53 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.02.21 21:37:53 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2013.02.21 21:37:52 | 000,113,024 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avfwot.sys
[2013.02.21 21:37:52 | 000,092,448 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avfwim.sys
[2013.02.21 21:37:52 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2013.02.21 20:42:31 | 000,432,576 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.02.21 18:01:17 | 000,002,806 | ---- | M] () -- C:\ProgramData\8375437.js
[2013.02.21 18:01:17 | 000,000,878 | ---- | M] () -- C:\Users\borusse\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013.02.18 18:57:00 | 000,000,930 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001Core.job
[2013.02.15 12:53:47 | 000,644,136 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.02.15 12:53:47 | 000,600,690 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.02.15 12:53:47 | 000,131,388 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.02.15 12:53:47 | 000,108,572 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[25 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[25 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.22 13:47:56 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2013.02.22 13:18:26 | 3218,284,544 | -HS- | C] () -- C:\hiberfil.sys
[2013.02.22 13:18:26 | 3218,284,544 | -HS- | C] () -- \hiberfil.sys
[2013.02.21 23:03:36 | 000,001,847 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.02.21 18:01:17 | 000,000,878 | ---- | C] () -- C:\Users\borusse\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013.02.21 10:42:54 | 000,002,806 | ---- | C] () -- C:\ProgramData\8375437.js
[2013.02.21 10:42:50 | 095,023,320 | ---- | C] () -- C:\ProgramData\8375437.pad
[2013.01.30 18:52:23 | 000,000,952 | ---- | C] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001UA.job
[2013.01.30 18:52:22 | 000,000,930 | ---- | C] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001Core.job
[2012.01.08 19:00:39 | 000,007,592 | ---- | C] () -- C:\Users\borusse\AppData\Local\d3d9caps.dat
[2009.09.27 15:59:32 | 000,000,052 | ---- | C] () -- C:\ProgramData\lxdf
[2008.10.31 19:22:50 | 000,000,375 | -H-- | C] () -- \IPH.PH
[2008.09.22 19:46:23 | 000,072,057 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2008.09.22 19:46:23 | 000,072,057 | ---- | C] () -- C:\ProgramData\nvModes.001
[2008.02.08 07:49:06 | 000,333,257 | RHS- | C] () -- \bootmgr
[2007.06.19 14:25:08 | 000,000,022 | ---- | C] () -- C:\ProgramData\60a7806a-0eea-424c-a464-20f4730cd631
[2006.11.02 11:23:09 | 000,000,024 | ---- | C] () -- \autoexec.bat
[2006.11.02 07:25:08 | 000,000,010 | ---- | C] () -- \config.sys
 
========== ZeroAccess Check ==========
 
[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >
Ich vermute mal das in der Registry evtl. auch noch reichlich "Leichen" liegen.
Was muß nun noch erfolgen um ein "sicheres" System zu gewährleisten?

Vielen Dank im voraus für die Mühen!

aharonov 22.02.2013 15:18
Hallo locutus01 und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf
  • Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
    • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
    • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
    • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
    • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.
  • Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
    • .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
    • .. installiere oder deinstalliere während der Bereinigung keine Software.
    • .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).
  • Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
    • Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
    • Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.
Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.



Jep, die übliche Geschichte.


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
  • Schliesse alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.
  • WICHTIG: Speichere Combofix auf deinen Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
  • Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von AdwCleaner
  • Log von Combofix
  • Log von OTL

locutus01 22.02.2013 16:56
Leider funktioniert es wohl nicht so einfach wie gedacht.. Während des zweiten Teils (Scan mit Combofix) kommt an der GVU Screen wieder. Diesen hatte ich ja blockiert mit Avira, aber musste es ja für ComboFix ausschalten. Und nun?

aharonov 22.02.2013 17:03
Ach so, der lebt noch. Dachte, du hättest ihn schon ganz deaktiviert gehabt.

Gar kein Problem, dann machen wir halt das:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:
Variante 1 - Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während des Hochfahrens drücke mehrmals die F8 Taste.
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und boote von der CD.
  • Wähle die Spracheinstellungen und klicke Weiter.
  • Klicke auf Computerreparaturoptionen.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
  • Gib nun bitte notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.
  • Gib nun bitte folgenden Befehl ein und drücke Enter:
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan.
Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Log von FRST

locutus01 22.02.2013 17:08
Update

Der Desktop wurde zwischenzeitlich , dann schwarz und es erfolgte ein reboot. Kann soll ich mich nun einloggen und fortfahren oder ist das tool noch aktiv. Kann das von den normalen HD Aktivitäten beim Start nun nicht unterscheiden.

aharonov 22.02.2013 17:14
Versuch dich mal normal einzuloggen und weiterzumachen. Und wenn das nicht klappt und die Sperrung wieder kommt, dann mach den FRST-Scan so wie oben beschrieben.

locutus01 22.02.2013 17:15
Hatte nicht gesehen das du zwischenzeitlich schon wieder geantwortet hattest. ;)

Dachte auch das ich den losgeworden wäre, aber scheinbar ist das was anderes was da in der Quarantäne schlummert. :-(

Wie also weiter mit dem neu vorgeschlagenen Tool oder erst mal warten ob die HD sich noch beruhigt vor dem einloggen?

OK. Hmmm Chat ist manchmal einfacher, aber verstehe das dies hier nicht möglich ist.

Scheint weiter zu gehen. ComboFix läuft zumindest noch und bereitet gerade die log vor.

aharonov 22.02.2013 17:19
Also von selbst wird das Ding nicht verschwinden, da würd ich nicht drauf warten. :)
Versuche, normal aufzustarten und dich einzuloggen und wenn etwas nicht so ist, wie es sein sollte, dann mach den oben angegebenen Scan mit FRST.
Es ist überhaupt kein Problem, diesen Eindringling loszuwerden, keine Angst. ;)

locutus01 22.02.2013 17:28
Angst habe ich nicht, keine Sorge. Bin ja vom Fach, nur habe ich seit langem nicht mehr mit Windowsdesktopsystemen zu tun gehabt. Linux, Cisco, etc ist eher meine Baustelle.
Anyway ... Nach dem reboot ist das Fenster von ComboFix noch aktiv. Bekomme über avira ein Netzwerkereignis "Catchme.tmp". Da ist vorhin die GVU Seite wieder aufgetaucht. Wenn ich das jetzt zurückweise muss ich sicherlich wieder komplett von vorne anfangen. Gleichzeitig schlägt der Echtzeitscanner von Avira auf dei CF1679.exe von ComboFix an.
Die kann ich auch nicht mit der Option Vertrauenswürdiges Programm wegdrücken. Kommt immer wieder ...

DAnn also weiter mit FRST ...

aharonov 22.02.2013 17:31
Ja, mach den FRST-Scan.

locutus01 22.02.2013 17:56
Here are the result of the frst jury ... ;)

Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 17-02-2013 01
Ran by SYSTEM at 22-02-2013 17:40:43
Running from G:\
Windows Vista (TM) Home Premium  (X86) OS Language: German Standard
The current controlset is ControlSet003

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1049896 2008-04-17] (Synaptics, Inc.)
HKLM\...\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0" [222504 2007-12-24] (CyberLink Corp.)
HKLM\...\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe" [468264 2008-06-11] (CyberLink Corp.)
HKLM\...\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start [202032 2008-05-12] ( Hewlett-Packard Development Company, L.P.)
HKLM\...\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [54840 2007-05-08] (Hewlett-Packard)
HKLM\...\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe [488752 2008-04-15] (Hewlett-Packard Development Company, L.P.)
HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [NWEReboot]  [x]
HKLM\...\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe [155648 2001-07-09] (Ahead Software Gmbh)
HKLM\...\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe [75008 2008-06-16] (Hewlett-Packard)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [39792 2008-10-15] (Adobe Systems Incorporated)
HKLM\...\Run: [lxdfmon.exe] "C:\Program Files\Lexmark 6500 Series\lxdfmon.exe" [455336 2007-12-17] ()
HKLM\...\Run: [lxdfamon] "C:\Program Files\Lexmark 6500 Series\lxdfamon.exe" [25256 2007-12-17] ()
HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [13543968 2008-06-09] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [92704 2008-06-09] (NVIDIA Corporation)
HKLM\...\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE [x]
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" [x]
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [385248 2013-02-21] (Avira Operations GmbH & Co. KG)
HKU\borusse\...\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden [2289664 2008-02-26] (Hewlett-Packard Company)
HKU\borusse\...\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [94208 2005-09-03] (Nero AG)
HKU\borusse\...\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" [234856 2008-12-09] (TomTom)
HKU\borusse\...\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2009-07-18] (Google Inc.)
HKU\FC - Hasser\...\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden [2289664 2008-02-26] (Hewlett-Packard Company)
HKU\FC - Hasser\...\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s [234856 2008-12-09] (TomTom)
HKU\FC - Hasser\...\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2009-07-18] (Google Inc.)
HKU\FC - Hasser\...\Run: [Facebook Update] "C:\Users\FC - Hasser\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver [138096 2013-01-30] (Facebook Inc.)
HKU\FC - Hasser\...\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe -update activex [247968 2012-02-08] (Adobe Systems, Inc.)
HKU\Heickslover\...\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden [2289664 2008-02-26] (Hewlett-Packard Company)
Tcpip\Parameters: [DhcpNameServer] 80.69.100.102 80.69.103.78
Startup: C:\ProgramData\Start Menu\Programs\Startup\Logitech SetPoint.lnk
ShortcutTarget: Logitech SetPoint.lnk -> X:\Program Files\Logitech\SetPoint\SetPoint.exe (No File)
Startup: C:\Users\borusse\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
ShortcutTarget: runctf.lnk -> c:\users\fc-has~1\7345738.dll (No File)
Startup: C:\Users\FC - Hasser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
ShortcutTarget: runctf.lnk -> c:\users\fc-has~1\7345738.dll (No File)

==================== Services (Whitelisted) ===================

2 AntiVirFirewallService; "C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe" [657120 2013-02-21] (Avira Operations GmbH & Co. KG)
2 AntiVirMailService; "C:\Program Files\Avira\AntiVir Desktop\avmailc.exe" [400608 2013-02-21] (Avira Operations GmbH & Co. KG)
2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [86752 2013-02-21] (Avira Operations GmbH & Co. KG)
2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [110816 2013-02-21] (Avira Operations GmbH & Co. KG)
2 AntiVirWebService; "C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE" [565472 2013-02-21] (Avira Operations GmbH & Co. KG)
2 lxdfCATSCustConnectService; C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdfserv.exe [98984 2007-12-07] (Lexmark International, Inc.)
2 lxdf_device; C:\Windows\system32\lxdfcoms.exe -service [598696 2007-12-07] ( )
2 MBAMScheduler; "C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe" [398184 2012-12-14] (Malwarebytes Corporation)
2 MBAMService; "C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe" [682344 2012-12-14] (Malwarebytes Corporation)
2 Recovery Service for Windows; C:\Windows\SMINST\BLService.exe [361808 2008-04-26] ()
2 RichVideo; "C:\Program Files\CyberLink\Shared Files\RichVideo.exe" [272024 2007-01-09] ()
2 HP Health Check Service; "c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe" [x]

==================== Drivers (Whitelisted) ====================

3 avfwim; C:\Windows\System32\DRIVERS\avfwim.sys [92448 2013-02-21] (Avira GmbH)
1 avfwot; C:\Windows\System32\DRIVERS\avfwot.sys [113024 2013-02-21] (Avira GmbH)
2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83944 2013-02-21] (Avira Operations GmbH & Co. KG)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [134336 2013-02-21] (Avira Operations GmbH & Co. KG)
1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36552 2013-02-21] (Avira Operations GmbH & Co. KG)
3 LMouFilt; C:\Windows\System32\DRIVERS\LMouFilt.Sys [37392 2009-06-17] (Logitech, Inc.)
3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [21104 2012-12-14] (Malwarebytes Corporation)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-21] (Avira GmbH)
3 catchme; \??\C:\ComboFix\catchme.sys [x]
4 InCDFs; C:\Windows\System32\drivers\InCDFs.sys [x]
1 InCDPass; C:\Windows\System32\drivers\InCDPass.sys [x]
1 InCDRm; C:\Windows\System32\drivers\InCDRm.sys [x]
3 IpInIp; C:\Windows\System32\DRIVERS\ipinip.sys [x]
3 NwlnkFlt; C:\Windows\System32\DRIVERS\nwlnkflt.sys [x]
3 NwlnkFwd; C:\Windows\System32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-02-22 17:40 - 2013-02-22 17:40 - 00000000 ____D C:\FRST
2013-02-22 16:49 - 2011-06-26 07:45 - 00256000 ____A C:\Windows\PEV.exe
2013-02-22 16:49 - 2010-11-07 18:20 - 00208896 ____A C:\Windows\MBR.exe
2013-02-22 16:49 - 2009-04-20 05:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
2013-02-22 16:49 - 2000-08-31 01:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
2013-02-22 16:49 - 2000-08-31 01:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
2013-02-22 16:49 - 2000-08-31 01:00 - 00098816 ____A C:\Windows\sed.exe
2013-02-22 16:49 - 2000-08-31 01:00 - 00080412 ____A C:\Windows\grep.exe
2013-02-22 16:49 - 2000-08-31 01:00 - 00068096 ____A C:\Windows\zip.exe
2013-02-22 16:48 - 2013-02-22 17:35 - 00000000 ____D C:\ComboFix
2013-02-22 16:48 - 2013-02-22 16:48 - 00000000 ____D C:\Qoobox
2013-02-22 16:42 - 2013-02-22 17:19 - 00000000 ____D C:\Windows\erdnt
2013-02-22 16:39 - 2013-02-22 16:39 - 05034222 ____R (Swearware) C:\Users\borusse\Desktop\ComboFix.exe
2013-02-22 16:39 - 2013-02-22 16:39 - 00602112 ____A (OldTimer Tools) C:\Users\borusse\Desktop\OTL.exe
2013-02-22 16:30 - 2013-02-22 16:30 - 00010806 ____A C:\AdwCleaner[S1].txt
2013-02-22 16:29 - 2013-02-22 16:29 - 00010836 ____A C:\AdwCleaner[R1].txt
2013-02-22 16:28 - 2013-02-22 16:28 - 00587671 ____A C:\Users\borusse\Desktop\adwcleaner0.exe
2013-02-22 15:48 - 2013-02-22 15:49 - 05034222 ____A (Swearware) C:\Users\FC - Hasser\Desktop\ComboFix.exe
2013-02-22 15:48 - 2013-02-22 15:48 - 00587671 ____A C:\Users\FC - Hasser\Desktop\adwcleaner0.exe
2013-02-22 14:34 - 2013-02-22 14:34 - 00054156 ____A C:\Users\FC - Hasser\Desktop\Extras.Txt
2013-02-22 14:32 - 2013-02-22 14:32 - 00062748 ____A C:\Users\FC - Hasser\Desktop\OTL.Txt
2013-02-22 14:05 - 2013-02-22 14:05 - 00000000 ____D C:\Users\FC - Hasser\AppData\Roaming\Malwarebytes
2013-02-22 13:48 - 2013-02-22 13:48 - 00000000 ____D C:\Users\borusse\AppData\Roaming\Malwarebytes
2013-02-22 13:47 - 2013-02-22 13:47 - 00000906 ____A C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-02-22 13:47 - 2013-02-22 13:47 - 00000906 ____A C:\ProgramData\Desktop\Malwarebytes Anti-Malware.lnk
2013-02-22 13:47 - 2013-02-22 13:47 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-02-22 13:47 - 2013-02-22 13:47 - 00000000 ____D C:\ProgramData\Application Data\Malwarebytes
2013-02-22 13:47 - 2013-02-22 13:47 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-02-22 13:47 - 2012-12-14 16:49 - 00021104 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2013-02-22 13:46 - 2013-02-22 13:46 - 10156344 ____A (Malwarebytes Corporation                                    ) C:\Users\FC - Hasser\Desktop\mbam-setup-1.70.0.1100.exe
2013-02-22 13:42 - 2013-02-22 13:42 - 00602112 ____A (OldTimer Tools) C:\Users\FC - Hasser\Desktop\OTL.exe
2013-02-22 13:26 - 2013-02-22 13:26 - 00000000 ____D C:\Users\FC - Hasser\AppData\Roaming\Avira
2013-02-21 23:29 - 2013-02-21 23:29 - 00000000 ____D C:\Users\borusse\AppData\Roaming\Avira
2013-02-21 23:03 - 2013-02-21 23:03 - 00001847 ____A C:\Users\Public\Desktop\Avira Control Center.lnk
2013-02-21 23:03 - 2013-02-21 23:03 - 00001847 ____A C:\ProgramData\Desktop\Avira Control Center.lnk
2013-02-21 23:01 - 2013-02-21 23:02 - 00000000 ____D C:\ProgramData\Avira
2013-02-21 23:01 - 2013-02-21 23:02 - 00000000 ____D C:\ProgramData\Application Data\Avira
2013-02-21 23:01 - 2013-02-21 23:01 - 00000000 ____D C:\Program Files\Avira
2013-02-21 23:01 - 2013-02-21 21:37 - 00134336 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-02-21 23:01 - 2013-02-21 21:37 - 00113024 ____A (Avira GmbH) C:\Windows\System32\Drivers\avfwot.sys
2013-02-21 23:01 - 2013-02-21 21:37 - 00092448 ____A (Avira GmbH) C:\Windows\System32\Drivers\avfwim.sys
2013-02-21 23:01 - 2013-02-21 21:37 - 00083944 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys
2013-02-21 23:01 - 2013-02-21 21:37 - 00036552 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-02-21 23:01 - 2013-02-21 21:37 - 00028520 ____A (Avira GmbH) C:\Windows\System32\Drivers\ssmdrv.sys
2013-02-21 20:55 - 2013-02-21 20:55 - 02086248 ____A C:\Users\borusse\Downloads\avira_internet_security.exe
2013-02-15 12:57 - 2013-01-08 23:23 - 12321280 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-02-15 12:57 - 2013-01-08 23:11 - 01800704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-02-15 12:57 - 2013-01-08 23:09 - 09738240 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-02-15 12:57 - 2013-01-08 23:03 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-02-15 12:57 - 2013-01-08 23:03 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-02-15 12:57 - 2013-01-08 23:03 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-02-15 12:57 - 2013-01-08 23:01 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-02-15 12:57 - 2013-01-08 23:00 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-02-15 12:57 - 2013-01-08 22:59 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-02-15 12:57 - 2013-01-08 22:58 - 00717824 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-02-15 12:57 - 2013-01-08 22:58 - 00420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-02-15 12:57 - 2013-01-08 22:57 - 00607744 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-02-15 12:57 - 2013-01-08 22:56 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-02-15 12:57 - 2013-01-08 22:56 - 01796096 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-02-15 12:57 - 2013-01-08 22:56 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-02-15 12:57 - 2013-01-08 22:53 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-02-15 12:54 - 2013-01-05 06:26 - 03602808 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-02-15 12:54 - 2013-01-05 06:26 - 03550072 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-02-14 15:13 - 2013-01-04 12:28 - 00905576 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-02-14 15:13 - 2013-01-04 02:38 - 02048512 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-02-14 15:13 - 2012-11-08 04:48 - 01314816 ____A (Microsoft Corporation) C:\Windows\System32\quartz.dll
2013-01-30 18:53 - 2013-02-19 18:45 - 00000000 ____D C:\Users\FC - Hasser\Documents\Youcam
2013-01-30 18:52 - 2013-02-22 15:57 - 00000952 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001UA.job
2013-01-30 18:52 - 2013-02-18 18:57 - 00000930 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001Core.job
2013-01-30 18:52 - 2013-01-30 18:52 - 00000000 ____D C:\Users\FC - Hasser\AppData\Local\Facebook

==================== One Month Modified Files and Folders ========

2013-02-22 17:36 - 2006-11-02 14:01 - 00032628 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-02-22 17:36 - 2006-11-02 14:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-02-22 17:36 - 2006-11-02 13:47 - 00003216 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-02-22 17:36 - 2006-11-02 13:47 - 00003216 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-02-22 17:35 - 2013-02-22 16:48 - 00000000 ____D C:\ComboFix
2013-02-22 17:35 - 2008-09-22 19:09 - 02042502 ____A C:\Windows\WindowsUpdate.log
2013-02-22 17:33 - 2006-11-02 11:33 - 01475618 ____A C:\Windows\System32\PerfStringBackup.INI
2013-02-22 17:19 - 2013-02-22 16:42 - 00000000 ____D C:\Windows\erdnt
2013-02-22 17:16 - 2010-02-05 05:33 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-02-22 17:16 - 2008-09-22 19:46 - 00071933 ____A C:\ProgramData\nvModes.dat
2013-02-22 17:16 - 2008-09-22 19:46 - 00071933 ____A C:\ProgramData\nvModes.001
2013-02-22 17:16 - 2008-09-22 19:46 - 00071933 ____A C:\ProgramData\Application Data\nvModes.dat
2013-02-22 17:16 - 2008-09-22 19:46 - 00071933 ____A C:\ProgramData\Application Data\nvModes.001
2013-02-22 17:16 - 2006-11-02 11:23 - 00000215 ____A C:\Windows\system.ini
2013-02-22 17:03 - 2008-01-21 03:47 - 00258950 ____A C:\Windows\PFRO.log
2013-02-22 17:01 - 2008-11-01 14:22 - 00000000 ____D C:\users\FC - Hasser
2013-02-22 16:48 - 2013-02-22 16:48 - 00000000 ____D C:\Qoobox
2013-02-22 16:42 - 2010-06-03 16:27 - 00001098 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-02-22 16:39 - 2013-02-22 16:39 - 05034222 ____R (Swearware) C:\Users\borusse\Desktop\ComboFix.exe
2013-02-22 16:39 - 2013-02-22 16:39 - 00602112 ____A (OldTimer Tools) C:\Users\borusse\Desktop\OTL.exe
2013-02-22 16:36 - 2008-09-22 19:57 - 00000216 ____A C:\Users\Public\Documents\hpqp.ini
2013-02-22 16:36 - 2008-09-22 19:57 - 00000216 ____A C:\ProgramData\Documents\hpqp.ini
2013-02-22 16:30 - 2013-02-22 16:30 - 00010806 ____A C:\AdwCleaner[S1].txt
2013-02-22 16:29 - 2013-02-22 16:29 - 00010836 ____A C:\AdwCleaner[R1].txt
2013-02-22 16:28 - 2013-02-22 16:28 - 00587671 ____A C:\Users\borusse\Desktop\adwcleaner0.exe
2013-02-22 15:57 - 2013-01-30 18:52 - 00000952 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001UA.job
2013-02-22 15:49 - 2013-02-22 15:48 - 05034222 ____A (Swearware) C:\Users\FC - Hasser\Desktop\ComboFix.exe
2013-02-22 15:48 - 2013-02-22 15:48 - 00587671 ____A C:\Users\FC - Hasser\Desktop\adwcleaner0.exe
2013-02-22 14:34 - 2013-02-22 14:34 - 00054156 ____A C:\Users\FC - Hasser\Desktop\Extras.Txt
2013-02-22 14:32 - 2013-02-22 14:32 - 00062748 ____A C:\Users\FC - Hasser\Desktop\OTL.Txt
2013-02-22 14:05 - 2013-02-22 14:05 - 00000000 ____D C:\Users\FC - Hasser\AppData\Roaming\Malwarebytes
2013-02-22 13:48 - 2013-02-22 13:48 - 00000000 ____D C:\Users\borusse\AppData\Roaming\Malwarebytes
2013-02-22 13:47 - 2013-02-22 13:47 - 00000906 ____A C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-02-22 13:47 - 2013-02-22 13:47 - 00000906 ____A C:\ProgramData\Desktop\Malwarebytes Anti-Malware.lnk
2013-02-22 13:47 - 2013-02-22 13:47 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-02-22 13:47 - 2013-02-22 13:47 - 00000000 ____D C:\ProgramData\Application Data\Malwarebytes
2013-02-22 13:47 - 2013-02-22 13:47 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-02-22 13:46 - 2013-02-22 13:46 - 10156344 ____A (Malwarebytes Corporation                                    ) C:\Users\FC - Hasser\Desktop\mbam-setup-1.70.0.1100.exe
2013-02-22 13:42 - 2013-02-22 13:42 - 00602112 ____A (OldTimer Tools) C:\Users\FC - Hasser\Desktop\OTL.exe
2013-02-22 13:26 - 2013-02-22 13:26 - 00000000 ____D C:\Users\FC - Hasser\AppData\Roaming\Avira
2013-02-22 13:26 - 2008-11-02 16:41 - 00007592 ____A C:\Users\FC - Hasser\AppData\Local\d3d9caps.dat
2013-02-21 23:29 - 2013-02-21 23:29 - 00000000 ____D C:\Users\borusse\AppData\Roaming\Avira
2013-02-21 23:23 - 2012-01-08 19:00 - 00007592 ____A C:\Users\borusse\AppData\Local\d3d9caps.dat
2013-02-21 23:03 - 2013-02-21 23:03 - 00001847 ____A C:\Users\Public\Desktop\Avira Control Center.lnk
2013-02-21 23:03 - 2013-02-21 23:03 - 00001847 ____A C:\ProgramData\Desktop\Avira Control Center.lnk
2013-02-21 23:03 - 2008-10-31 19:20 - 00000000 ____D C:\users\borusse
2013-02-21 23:02 - 2013-02-21 23:01 - 00000000 ____D C:\ProgramData\Avira
2013-02-21 23:02 - 2013-02-21 23:01 - 00000000 ____D C:\ProgramData\Application Data\Avira
2013-02-21 23:01 - 2013-02-21 23:01 - 00000000 ____D C:\Program Files\Avira
2013-02-21 21:37 - 2013-02-21 23:01 - 00134336 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-02-21 21:37 - 2013-02-21 23:01 - 00113024 ____A (Avira GmbH) C:\Windows\System32\Drivers\avfwot.sys
2013-02-21 21:37 - 2013-02-21 23:01 - 00092448 ____A (Avira GmbH) C:\Windows\System32\Drivers\avfwim.sys
2013-02-21 21:37 - 2013-02-21 23:01 - 00083944 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys
2013-02-21 21:37 - 2013-02-21 23:01 - 00036552 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-02-21 21:37 - 2013-02-21 23:01 - 00028520 ____A (Avira GmbH) C:\Windows\System32\Drivers\ssmdrv.sys
2013-02-21 20:55 - 2013-02-21 20:55 - 02086248 ____A C:\Users\borusse\Downloads\avira_internet_security.exe
2013-02-21 20:47 - 2009-09-22 18:18 - 00000000 ____D C:\Users\borusse\AppData\Local\Google
2013-02-21 20:46 - 2006-11-02 12:18 - 00000000 ___RD C:\users\Public
2013-02-21 20:42 - 2006-11-02 13:47 - 00432576 ____A C:\Windows\System32\FNTCACHE.DAT
2013-02-21 18:09 - 2006-11-02 13:52 - 00150845 ____A C:\Windows\setupact.log
2013-02-19 18:45 - 2013-01-30 18:53 - 00000000 ____D C:\Users\FC - Hasser\Documents\Youcam
2013-02-18 18:57 - 2013-01-30 18:52 - 00000930 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001Core.job
2013-02-15 16:37 - 2008-12-19 16:15 - 00000052 ____A C:\Windows\System32\DOErrors.log
2013-02-15 15:17 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-02-15 13:00 - 2006-11-02 11:24 - 67823584 ____A (Microsoft Corporation) C:\Windows\System32\mrt.exe
2013-02-15 12:59 - 2008-07-08 05:37 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-02-15 12:59 - 2008-07-08 05:37 - 00000000 ____D C:\ProgramData\Application Data\Microsoft Help
2013-02-04 19:34 - 2008-11-02 18:41 - 00000000 ____D C:\Users\FC - Hasser\AppData\Roaming\Skype
2013-02-04 18:31 - 2008-11-01 14:52 - 00000000 ____D C:\Users\FC - Hasser\AppData\Roaming\foobar2000
2013-01-30 18:53 - 2009-12-13 13:36 - 00000000 ____D C:\Users\FC - Hasser\AppData\Roaming\CyberLink
2013-01-30 18:53 - 2008-09-22 19:57 - 00000000 ____D C:\ProgramData\CyberLink
2013-01-30 18:53 - 2008-09-22 19:57 - 00000000 ____D C:\ProgramData\Application Data\CyberLink
2013-01-30 18:52 - 2013-01-30 18:52 - 00000000 ____D C:\Users\FC - Hasser\AppData\Local\Facebook


==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2012-12-16 11:39] - [2012-08-21 12:47] - 0224640 ____A (Microsoft Corporation) 786DB5771F05EF300390399F626BF30A


==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-01-23 11:19:49
Restore point made on: 2013-01-25 15:37:56
Restore point made on: 2013-01-26 15:48:29
Restore point made on: 2013-01-29 16:04:02
Restore point made on: 2013-01-31 18:47:17
Restore point made on: 2013-02-01 19:50:21
Restore point made on: 2013-02-03 08:29:57
Restore point made on: 2013-02-06 16:17:11
Restore point made on: 2013-02-12 15:16:46
Restore point made on: 2013-02-15 12:45:07
Restore point made on: 2013-02-16 10:44:13
Restore point made on: 2013-02-19 18:30:42
Restore point made on: 2013-02-21 23:03:01
Restore point made on: 2013-02-22 10:53:59
Restore point made on: 2013-02-22 11:52:43
Restore point made on: 2013-02-22 11:55:19
Restore point made on: 2013-02-22 12:36:52

==================== Memory info ===========================

Percentage of memory in use: 16%
Total physical RAM: 3068.58 MB
Available physical RAM: 2548.73 MB
Total Pagefile: 2801.5 MB
Available Pagefile: 2617.46 MB
Total Virtual: 2047.88 MB
Available Virtual: 1975.5 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:223.9 GB) (Free:39.79 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
2 Drive d: (PRESARIO_RP) (Fixed) (Total:8.98 GB) (Free:1.66 GB) NTFS ==>[System with boot components (obtained from reading drive)]
5 Drive g: (USB DISK) (Removable) (Total:14.43 GB) (Free:13.16 GB) FAT32
6 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

  Datentr ###  Status      Gr”áe    Frei    Dyn  GPT
  --------  ----------  -------  -------  ---  ---
      0    Online      233 GB  2232 KB       
      1    Kein Mediu      0 B      0 B       
      2    Online        14 GB      0 B       



Last Boot: 2013-02-22 17:21

==================== End Of Log ============================

aharonov 22.02.2013 18:10
Hi,

das sieht aber hier so aus, als hätte Combofix die verantwortlichen Files doch schon gelöscht gehabt.
Mach folgenden FRST-Fix und starte danach wieder normal auf.
Wie sieht's dann aus?


Schritt 1

Drücke auf einem Zweitrechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Code:
C:\Users\borusse\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\FC - Hasser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
c:\users\fc-has~1\7345738.dll
Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.
  • Schliesse den USB Stick wieder an den infizierten Rechner an.
  • Starte deinen Rechner erneut in die Reparaturoptionen.
  • Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.
Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von FRST

locutus01 22.02.2013 18:34
Hier also die Fixlog:

Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 17-02-2013 01
Ran by SYSTEM at 2013-02-22 18:28:21 Run:1
Running from G:\

==============================================

C:\Users\borusse\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.
C:\Users\FC - Hasser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.
c:\users\fc-has~1\7345738.dll not found.

==== End of Fixlog ====

aharonov 22.02.2013 18:38
Kannst du jetzt wieder ohne Probleme in den normalen Modus booten?

locutus01 22.02.2013 18:43
Ja, sieht gut aus. Auch aus Sicht der Performance.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:57 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131